Skip to main content

Indeed AM

tip

Настройка доступна при включении опции Интеграция с Indeed Access Manager в разделе Общие функции Мастера настройки Indeed CM.

Indeed Certificate Manager можно интегрировать с другими продуктами компании Индид – Indeed Access Manager и Indeed AM Enterprise Single Sign-On. Интеграция позволит объединить в единый процесс операции выпуска устройства, запроса сертификата, записи сертификата и регистрации аутентификатора «Смарт-карта или USB-ключ + PIN» пользователя Indeed AM.

Выпущенное подобным образом устройство можно использовать как для аутентификации в домене и SSO-приложениях, так и для цифровой подписи или доступа к ресурсам, требующих наличие персональных сертификатов. Интеграция между системами возможна на любом этапе, независимо от того, какой из продуктов был развернут раньше.

Настройка интеграции Indeed CM и Indeed AM состоит из двух этапов:

  1. Установка и настройка компонентов.
  2. Конфигурирование параметров интеграции.

Установка и настройка компонентов

  1. Установите следующие компоненты:
  • Indeed Administration Tools (или Indeed Admin Pack) на каждый сервер Indeed CM;
  • Indeed Extended Security Provider на каждый сервер Indeed AM;
  • Indeed AM SmartCard Provider на каждый сервер Indeed AM.
tip

Indeed Administration Tools поставляется в дистрибутиве Indeed Access Manager.
Indeed Extended Security Provider и Indeed AM SmartCard Provider предоставляет по запросу служба технической поддержки компании Индид.

  1. Настройте Extended Security Provider:

    1. Создайте группу безопасности Indeed-ID Enrollment Admins согласно Руководству по установке и эксплуатации Indeed Extended Security Provider.
    2. Добавьте сервисную учетную запись в группы безопасности Indeed-ID User Admins и Indeed-ID Enrollment Admins.

Параметры интеграции с Indeed AM

Чтобы задать параметры интеграции с Indeed AM, перейдите в конфигурацию выбранной политики использования устройств и откройте раздел Indeed AM.

ПараметрОписание
Включить интеграцию с Indeed AMЕсли опция включена, то при выпуске устройства в Indeed CM будет выпускаться и аутентификатор «Смарт-карта или USB-ключ + PIN» в Indeed AM.
Использовать прокси-сервер Indeed AMЕсли опция включена, то Indeed CM будет обращаться к прокси-серверу Indeed AM, который направит запрос на серверы Indeed AM.
Использование прокси-сервера необходимо, если серверы Indeed CM располагаются за пределами домена, в котором установлен Indeed AM.
URL-адрес прокси-сервераАдрес, по которому доступен Indeed AM Proxy Server.
Имя пользователя
Пароль
Учетные данные пользователя (логин и доменный пароль), входящего в группы безопасности Indeed-ID User Admins и Indeed-ID Enrollment Admins.
Разрешить использование Indeed AM Windows LogonЕсли опция включена, то при выпуске устройства в Indeed CM пользователю будет разрешено использование технологии Indeed для аутентификации в домене при помощи компонента Indeed AM Windows Logon.
Разрешить использование Indeed AM Enterprise Single Sign-OnЕсли опция включена, то при выпуске устройства в Indeed CM пользователю будет разрешено использование технологии Indeed для аутентификации в приложениях при помощи компонента Indeed AM Enterprise SSO Agent.
Генерировать случайный пароль учетной записи WindowsЕсли опция включена, то при выпуске устройства в Indeed CM для пользователя будет установлена опция генерации случайного доменного пароля.
В этом случае при истечении срока действия пароля новый пароль будет сгенерирован случайным образом и будет известен только системе Indeed AM.

Если удалить последний зарегистрированный аутентификатор пользователя, то разрешения на использование Indeed AM Windows Logon, Indeed AM Enterprise Single Sign-On и генерацию случайного пароля будут выключены.

Пример

Если у пользователя не было ни одного аутентификатора в Indeed AM и ни одного устройства в Indeed CM, то после выпуска устройства с настроенными параметрами интеграции у пользователя появится один аутентификатор («Смарт-карта или USB-ключ + PIN») в Indeed AM и одно устройство (например, eToken) в Indeed CM.

В случае удаления устройства в Indeed CM, удалится и аутентификатор в Indeed AM, а если других обученных аутентификаторов нет, отключатся и разрешения на использование Indeed AM Windows Logon, Indeed AM Enterprise Single Sign-On и генерация случайного пароля (если хотя бы одна из этих опций была активна на момент отзыва).